有料会員限定記事 現在はどなたでも閲覧可能です

 三菱地所・サイモンは、同社が運営するショッピングモール「プレミアム・アウトレット」の会員情報漏洩が判明してから2カ月たった2018年6月7日、事件に関するセキュリティ会社の調査結果を明らかにした。

情報漏洩発覚直後のプレミアム・アウトレットのWebサイト
(出所:三菱地所・サイモン)
[画像のクリックで拡大表示]

 この情報漏洩は既報通り、日経 xTECH編集部が4月6日、海外のストレージサービスに公開された漏洩データの内容を確認し、それを指摘したことで同社が翌日に事件を発表するまでに至った。さらに同社は4月14日、漏洩データには登録情報と一致したメールアドレスとパスワードが約24万件、メールアドレスだけが一致しているものが約3万件含まれていると発表した。

 これまでの発表内容を受けて、三菱地所・サイモンがプレミアム・アウトレットの情報漏洩についてまずかったと思われる点が大きく三つある。一つは、会員のパスワードを暗号化などの処理を加えないまま保存していたこと。二つめは、ユーザーが認証時に入力してエラーになったIDとパスワードの組み合わせを保存していたこと。三つめは、会員への注意喚起が不十分だったことだ。

パスワードが暗号化されていなかった

 ネット上でユーザー認証を行うサービスのほとんどは、パスワードを暗号化して保存している。暗号化には、ハッシュという方式を使う。サービス側は、ユーザーが設定したパスワードのハッシュ値(ハッシュによる暗号文)だけを保存しておけば、認証時にユーザーが入力したパスワードからハッシュ値を計算して一致するかどうかを確かめることでユーザーを認証できる。適切な方法でハッシュ化しておけば、たとえパスワードのハッシュ値が漏洩しても、直ちに解読されることはない。

データベースにハッシュ値だけを保存しておけばユーザーを認証できる
[画像のクリックで拡大表示]